Evita conflitos de endereço IP em uma rede heterogênea que consiste em PCs e sistemas embarcados em um ambiente de varejo

Navegue suas respostas
2

Em nosso ambiente de rede local (com fio e sem fio), o conflito de endereços IP quase sempre reduz os sistemas.

Temos muitos equipamentos conectados à rede: PCs, pontos de acesso, RF, balanças, máquinas POS. Cada equipamento possui seu próprio intervalo de endereços IP definidos. No entanto, os IPs são atribuídos estaticamente. Fornecedores externos configuram seus respectivos equipamentos offline. Isso é quase sempre o caso de conflito quando as máquinas estão conectadas à rede.

Já sabemos como solucionar problemas e resolver o conflito. O que eu quero perguntar agora é como bloquear ou impedir a introdução ou conexão de qualquer máquina / equipamento para a nossa rede com endereço IP que está em conflito com os IPs existentes e usados?

Estou planejando executar o LookAtLan em uma tarefa agendada, dizendo às 2h diariamente para que possamos obter uma nova lista de todos os endereços IP e Mac usados e criar um programa que execute a validação (IP) automaticamente após a detecção de qualquer novo entrada na rede através das portas do switch (somente para cabos - não tenho nada para wireless).

Uma vez que a nova entrada tenha sido validada em conflito com a existente, O QUE E COMO PREVENIR A ENTRADA é o meu PRINCIPAL PROBLEMA.

Não sei se meus planos são viáveis e possíveis. Por favor ajude.

    
por Katt 27.01.2016 / 07:18

1 resposta

0

Como parece que você está usando o IPv4, os conflitos de rede do endereço IP estático podem ser encontrados por ARP gratuito . O problema é que essa detecção funciona apenas após o conflito acontecer .

Você pode minimizar o impacto do conflito de endereços IP usando os recursos de segurança de alguns switches, como Inspeção Dinâmica de ARP do Cisco conforme sugerido nesta resposta .

DAI is a security feature that validates ARP packets in a network. DAI intercepts, logs, and discards ARP packets with invalid IP-to-MAC address bindings. This capability protects the network from some man-in-the-middle attacks.

Então, basicamente, no IPv4, você não pode evitar conflito de endereço IP estático (não atribuído ao DHCP) e precisa se concentrar em minimizar o impacto de eventuais conflitos no sistema , o que pode ser obtido usando hardware e configuração de rede.

Se você usasse o IPv6, você se beneficiaria com DAD (Optimistic Duplicate Address Detection) para IPv6 .

With IPv4 gratuitous ARP, the Source Protocol Address and Target Protocol Address fields in the ARP Request message header are set to the IPv4 address for which duplication is being detected. In IPv6 DAD, the Target Address field in the Neighbor Solicitation (NS) message is set to the IPv6 address for which duplication is being detected. DAD differs from address resolution in the following ways:

  • In the DAD NS message, the Source Address field in the IPv6 header is set to the unspecified address (::). The address being queried for duplication cannot be used until it is determined that there are no duplicates.
  • In the Neighbor Advertisement (NA) reply to a DAD NS message, the Destination Address in the IPv6 header is set to the link-local all-nodes multicast address (FF02::1). The Solicited flag in the NA message is set to 0. Because the sender of the DAD NS message is not using the desired IP address, it cannot receive unicast NA messages. Therefore, the NA message is multicast.
  • Upon receipt of the multicast NA message with the Target Address field set to the IP address for which duplication is being detected, the node disables the use of the duplicate IP address on the interface. If the node does not receive an NA message that defends the use of the address, it initializes the address on the interface.

Portanto, no IPv6, o conflito é detectado antes que aconteça e o endereço IP duplicado não pode ser usado até que seja determinado que não há duplicatas.

    
por 27.01.2016 / 11:30

Tags

Como posiciono um geeklet no meu segundo monitor? Erro de atualização do Windows 80072EE2 conectando-se ao WSUS